Registre du sous-processeur
Dernière mise à jour : 23/02/2026
1. Objet
Le présent document identifie les sous-traitants tiers engagés par GlobeID Limited
(« GlobeID ») pour traiter des Données à Caractère Personnel pour le compte des Clients
dans le cadre des services PassportScan Cloud, conformément à l’article 28(2) et 28(4) du RGPD.
La présente Liste des Sous-traitants fait partie intégrante du Contrat de Traitement des Données (DPA).
2. Principes Généraux
- Les sous-traitants ne sont engagés que lorsque cela est strictement nécessaire à la fourniture des Services
- Tous les sous-traitants sont liés par des accords écrits de protection des données imposant des obligations au moins équivalentes à celles prévues dans le DPA
- GlobeID demeure pleinement responsable des actes et omissions de ses sous-traitants conformément à l’article 28(4) du RGPD
- Les bases de données principales de la plateforme sont hébergées exclusivement au sein de l’Union européenne (AWS eu-west-1 – Irlande)
- Lorsque le stockage régional S3 est activé, les images de documents sont stockées dans la région AWS correspondant à la juridiction opérationnelle de l’hôtel
- Aucune réplication interrégionale des bases de données principales n’est configurée
- PassportScan ne maintient pas d’environnement de données de titulaires de cartes (CDE)
3. Sous-traitants Autorisés (Tableau Unifié)
| Sous-traitant | Catégorie de Service | Finalité / Fonction | Catégories de Données Traitées | Lieu de Traitement |
|---|---|---|---|---|
| Amazon Web Services, Inc. (AWS) | Infrastructure Cloud & Hébergement | Hébergement des services applicatifs, bases de données, stockage objet chiffré (S3), sauvegardes, sécurité de l’infrastructure | Données d’identité, données de réservation, journaux, images de documents (le cas échéant) | Principal : UE (Irlande – eu-west-1). S3 : Région alignée sur la juridiction de l’hôtel (peut inclure des régions hors EEE) |
| Clerk, Inc. | Identité & Authentification | Authentification des utilisateurs, vérification d’identité, gestion du cycle de vie des sessions | Adresse e-mail, adresse IP, métadonnées d’appareil, jetons de session | Tel que décrit dans la documentation de Clerk |
| Datadog, Inc. | Journalisation & Supervision | Supervision de l’infrastructure, monitoring des performances applicatives, journalisation de sécurité, détection d’anomalies | Métadonnées des journaux, adresses IP, événements d’authentification, diagnostics techniques | Tel que décrit dans la documentation de Datadog |
| Google LLC (Google Workspace) | Productivité & Communication d’Entreprise | Communications internes, messagerie électronique, gestion documentaire | Données de contact professionnelles, communications opérationnelles limitées | Tel que décrit par Google |
| Stripe, Inc. | Traitement des Paiements | Transactions d’achat de crédits et activation de compte | Traitées par Stripe : données de carte bancaire, informations de facturation, identifiants de transaction. Reçues par PassportScan : identifiant de transaction, statut du paiement, montant, devise, e-mail de facturation (le cas échéant) |
Tel que décrit dans la documentation de Stripe |
4. Exclusions Explicites
- Aucun sous-traitant n’a accès aux données de documents d’identité déchiffrées
- PassportScan ne stocke ni ne traite les numéros de carte bancaire, codes CVV ou dates d’expiration
- Stripe traite les données des titulaires de cartes dans son infrastructure conforme PCI-DSS
- Aucune réplication interrégionale des bases de données de production principales n’est activée
5. Transferts Internationaux de Données
Lorsque des sous-traitants traitent des données en dehors de l’Espace Économique Européen (EEE),
GlobeID veille à ce que des garanties appropriées soient mises en place, notamment les Clauses Contractuelles Types (CCT)
ou tout autre mécanisme de transfert licite conformément au Chapitre V du RGPD.
Pour le stockage régional S3 en dehors de l’EEE, les transferts sont fondés sur l’Addendum de Traitement des Données AWS et les CCT applicables.
6. Mises à Jour et Notifications
GlobeID peut mettre à jour la présente Liste des Sous-traitants à tout moment.
Les Clients seront informés de tout nouveau sous-traitant par la publication d’une version mise à jour du Registre des Sous-traitants.
Lorsque requis par la loi applicable ou le DPA, les Clients peuvent formuler une objection conformément à la procédure contractuelle prévue dans le DPA.
La version la plus récente de ce document sera toujours publiée avec la date de mise à jour correspondante.
